얼마 전, 고도로 진화된 강력한 안드로이드 스파이툴이 발견되었습니다. 공격자가 해당 툴을 이용하면, 취약한 기기를 원격으로 완전히 제어할 수 있습니다.
스카이고프리(Skygofree)라는 이름을 가진 이 스파이웨어는 표적 감시를 위해 제작되었으며, 지난 4년 간 수많은 사용자를 공격한 것으로 추정됩니다.
카스퍼스키랩에 따르면, 2014년부터 스카이고프리는 이전에 볼 수 없었던 새로운 몇 가지 기능을 추가하여 공격을 진화시켰습니다.
이 ‘획기적인 새로운 기능’에는 마이크로폰을 이용한 위치 기반 음성 녹음, 안드로이드 접근 서비스를 이용한 왓츠앱 메시지 탈취, 공격자가 제어하는 악성 와이파이 네트워크에 연결 등이 있습니다.
카스퍼스키 텔레메트리 데이터에 따르면, 공격자들은 모바일 네트워크 운영자로 위장하여 가짜 웹 페이지를 통해 스카이고프리를 유포한 것으로 확인됩니다.
<이미지 출처 : http://securityaffairs.co/wordpress/67815/malware/skygofree-surveillance-software.html>
카스퍼스키 랩 연구원들은 이번 공격과 관련된 해킹 그룹이 2014년부터 이탈리아를 기반으로 활동해온 것으로 보고 있습니다. 이탈리아는 세계 최대 규모의 해커 중 하나인 ‘해킹팀(Hacking Team)의 본고장으로도 잘 알려져 있습니다.
“공격 분석 결과, 스카이고프리 제작자가 ‘해킹팀’처럼 감시솔루션을 제작하는 이탈리아 IT 기업으로 추정되는 여러가지 정황들이 발견되었습니다.”
또한 스카이고프리에 감염된 기기 중에는 이탈리아 제품도 있었습니다.
카스퍼스키는 관련 이탈리아 기업의 이름을 확실히 밝히지는 않았지만, 분석한 코드를 살펴보면 로마에 위치한 IT 기업, 네그(Negg)에서 제작된 것으로 보입니다. 네그는 합법적인 해킹 툴을 제작하여 판매하는 기업입니다.
스카이고프리가 일단 설치되면, 아이콘을 숨기고 백그라운드 서비스를 실행시켜 사용자 모르게 추가 작업을 실행합니다. 자체 보호 기능도 있어 서비스가 꺼지지 않도록 시스템을 보호합니다.
지난 해 10월을 기준으로 스파이고프리는 더욱 정교한 다중 보안 스파이웨어 툴로 진화하였습니다. 공격자들은 리버스 쉘 페이로드와 C&C 서버 구조를 이용해 원격으로 기기를 완전히 제어할 수 있게되었습니다.
공격을 분석한 보안 연구원들에 따르면, 스카이고프리에는 루트 접근 권한을 획득하기 위한 다양한 공격 기능이 포함되어 있으며, 공격자들은 이를 통해 감염된 안드로이드 기기에서 악성 페이로드를 실행시킬 수 있습니다.
<이미지 출처 : http://securityaffairs.co/wordpress/67815/malware/skygofree-surveillance-software.html>
공격자는 해당 페이로드를 통해 쉘코드를 실행하고 사용자 기기에 설치된 다른 애플리케이션(페이스북, 왓츠앱, 라인, 바이버 등)에 있는 데이터를 탈취할 수 있습니다.
또한 C&C 서버를 이용해 원격으로 사진과 영상을 캡처하고, 통화 기록, 문자 메시지, 사용자 위치 정보, 스케줄러 등 휴대 전화에 저장된 정보를 탈취할 수 있습니다.
뿐만 아니라, 마이크로폰을 이용해 특정 위치에서 음성 녹음을 할 수 있고, 중간자 공격을 통해 공격자가 제어하는 와이파이 네트워크에 연결시킬 수도 있습니다.
카스퍼스키 연구원은 ‘공격자가 스카이고프리 공격을 할 때, 안드로이드 접근 서비스를 이용해 화면에 나타나는 정보를 탈취할 수 있기 때문에 앱이 시작될 때까지 기다렸다가, 앱이 시작되면 모든 노드를 파싱하여 문자 메시지를 확인한다’고 덧붙였습니다.
또한 윈도우 사용자를 대상으로 공격하는 스카이고프리 변종이 발견된 만큼, 공격자들이 다음 타깃으로 윈도우 플랫폼을 공격할 것으로 추정됩니다.
출처 :
https://thehackernews.com/2018/01/android-spying-malware.html#author-info
http://securityaffairs.co/wordpress/67815/malware/skygofree-surveillance-software.html
미국 병원, samsam 랜섬웨어에 감염되어 약 6만달러 랜섬머니 지불 (0) | 2018.01.19 |
---|---|
뱅킹 악성코드 엑소봇 제작자, 판매 중단 발표 (0) | 2018.01.18 |
Intel, Meltdown과 Spectre 취약점을 패치할 수 있는 Linux Micro Code 공개 (0) | 2018.01.17 |
Kotlin 언어로 개발된 안드로이드 악성코드 최초 발견 (0) | 2018.01.17 |
Mirai OKIRU - 최초로 ARC CPU의 Linux를 타겟으로 하는 악성코드 발견! (0) | 2018.01.17 |
댓글 영역